10大安全风险速递，建立顶层安全思维

10大安全风险速递，建立顶层安全思维 | 极客时间

2021 年 12 月 16 日 AI前线

安全问题，典型的“字少事大”，前两天很热的一件事，相信大家都有所耳闻：

这件事关注度极高，毕竟，Log4j 使用广泛，一旦遭到攻击者利用就会造成严重危害。

安全，看似是一个不直接创造价值的功能，但一出问题就 异常棘手 的事儿：

2019 年拼多多的“优惠券随便领”安全漏洞导致损失惨重，犹在眼前，这两年依然有各种数据库资料被窃取、删除；服务器遭受入侵，用户帐号被盗；用户资料被修改、被钓鱼、勒索病毒等问题层出不穷，这些都说明了 Web 安全 的重要性。

开头文章标题中提到“Log4j 核弹级漏洞”，这个形容其实并不夸张，在安全攻防中，漏洞的作用就像核武器，这是一种在硬件装备上的降维打击。

而一名开发者，如果能掌握漏洞挖掘技能和思维，会显得很“稀缺”，很“贵”。

要知道，互联网大厂对安全的要求胜过一切，毕竟动辄牵扯成千万上亿用户的利益，如果你掌握点安全相关的知识，具备漏洞挖掘思维，会成为你 跳槽、涨薪和晋升 中独一无二的加分项。

另一方面，就是每个程序员心中“很酷的理想”，我们常说，真正优秀的开发者都是大黑客， 具备漏洞思维能让你防患于未然，写出安全、优雅的代码，对系统可能出现的风险也了然于心，开发出真正加安全的产品和服务。

当然，安全行业很特殊的一点 —— 理论固然重要，实战更是王道， 漏洞挖掘与安全开发需要大量的知识储备，与实战经验，即使是网络安全专业的科班生，也很可能缺乏“一线的漏洞挖掘和漏洞修复经验”。

漏洞挖掘很难，能学得会吗？

这几年，随着大环境重视“安全、漏洞”，各种资料全面爆发，但大多是着眼于某一个知识点去解读，对于含金量最高的地方——漏洞挖掘过程以及思考方式，却没有仔细分解。所以在面对主动漏洞挖掘场景以及安全开发时，依然无能为力。

如果说在安全领域，有谁比较推荐的话，那一定不得不提 「王昊天」，螣龙安科创始人兼 CEO。如果让我用一个词来形容的话，那就是“年少有为”；用一些采访中投资人对他的评价的话，就是“资深黑客，思维敏捷，智商深不可测，浑身正能量，还散发着 30 岁男人的老练……”

是的，没看错，他很年轻，93 年的他，在安全领域已经有 11 年的从业经验，是圈里绝对名副其实的 KOL。开挂的人生，从他高考以全省 39 名的成绩考入上海交大信息安全专业开始。上学期间，不但独立完成了四个开发项目，还对沙盒逃逸、内网反向穿透等黑客技术有深入研究。一毕业更是拿到了投资，成立公司，听说这个月又拿到了千万级别的融资，这履历，我只能说，佩服。

最近，他在极客时间出了一个 《Web 漏洞挖掘实战》 专栏，基于“少实践”这个痛点，上来就讲了 2021 年 10 大 Web 领域安全风险，每一类风险都有近年来新鲜美味的漏洞供你体验；其次从漏洞挖掘的视角，详解每种安全风险的漏洞挖掘过程，让你掌握如“雷达一般”的潜在安全漏洞感知能力。

当年他的第一季《Web 安全攻防实战》，我就 2 刷完毕，这次专栏刚上新，读了更新的几章，果然让人惊喜，「理论 + 案例 + 方法总结」，直接、实在。真正的干货绝对不是纸上谈兵，除了安全知识，还可以让你学到如何安全优雅地编码。用王昊天的话说就是：“You build it, you run it.”。

现在仅需￥89，立省￥40，购买后 永久有效，推荐给你。

👆扫码免费试读

早鸟 + 口令「loudong66」

到手仅 ¥89，立省￥40

另外，我很佩服他的一点，就是能“把枯燥的内容讲得生动有趣”，说实在的，漏洞挖掘并不好学，但他特有一种 幽默风趣 的品质，读他的专栏，完全不会担心乏味。每一个小主题，都会通过生动形象的故事 让你快速理解知识点的本质，再展开深入探讨，就像读小说的一样让人“上头、想追更”。这里截了几个例子给你体会体会：

* CSRF 的解释